SP 800-39とは
NIST SP 800-39「Managing Information Security Risk」(2011年公開)は、組織全体の情報セキュリティリスクを管理するための上位フレームワークです。SP 800-30(リスクアセスメント)やSP 800-37(RMF)の上位に位置し、これらを組織のリスク管理戦略に統合する方法を示しています。
特徴は「3層モデル(Three-Tier Model)」で、リスク管理を組織レベル・ミッションレベル・システムレベルの3層で構造化している点です。
リスク管理の3層モデル
| 層 | 名称 | 責任者 | リスク管理の焦点 |
|---|---|---|---|
| Tier 1 | 組織(Organization) | 経営層、CISO | 組織全体のリスク管理戦略・方針の策定、リスク許容度の決定 |
| Tier 2 | ミッション/ビジネスプロセス | 事業部門長、プログラムマネージャー | ビジネスプロセスに関連するリスクの管理、セキュリティアーキテクチャの設計 |
| Tier 3 | 情報システム | 情シス、システム管理者 | 個別のシステムに対する管理策の選定・実装・監視(RMFの適用) |
💡 3層の意義
セキュリティリスクを「システムの問題」だけでなく「経営の問題」として捉えることがSP 800-39の核心です。Tier 1で経営層がリスク許容度を決定し、Tier 2でビジネスプロセスに落とし込み、Tier 3でシステムレベルの管理策に反映する——このトップダウンのアプローチがリスク管理の一貫性を担保します。
4つのリスク管理コンポーネント
SP 800-39は各層に共通するリスク管理の活動を4つのコンポーネントに整理しています。
| コンポーネント | 内容 | 該当するSP |
|---|---|---|
| Frame(枠組み設定) | リスク管理の前提条件・リスク許容度・制約条件を定義 | SP 800-39本文 |
| Assess(評価) | 脅威・脆弱性を特定し、リスクレベルを評価 | SP 800-30 |
| Respond(対応) | リスク対応方針(軽減・回避・移転・受容)を決定し実行 | SP 800-37(RMF) |
| Monitor(監視) | リスク状況を継続的に監視し、必要に応じて対応を見直す | SP 800-137 |
SP 800-30/37との関係
| SP | 役割 | SP 800-39との関係 |
|---|---|---|
| SP 800-39 | 組織全体のリスク管理フレームワーク | 最上位のフレームワーク |
| SP 800-30 | リスクアセスメントの実施ガイド | SP 800-39の「Assess」コンポーネントを詳述 |
| SP 800-37 | RMF(システムレベルのリスク管理) | SP 800-39のTier 3を実装するフレームワーク |
まとめ
SP 800-39は「組織→ミッション→システム」の3層モデルで情報セキュリティリスクを統合管理するフレームワークです。経営層のリスク許容度の決定(Tier 1)からシステムの管理策(Tier 3)まで、トップダウンの一貫したリスク管理を実現します。